Wyjaśniamy, o co chodzi w RODO (ang. GDPR). Czym jest RODO? Co RODO oznacza dla Ciebie jako osoby? Co oznacza dla firmy lub organizacji, w której pracujesz? Dowiedz się więcej z przygotowanych przez nas odpowiedzi na najczęściej zadawane pytania. Możesz też wysłać do nas swoje pytanie – postaramy się na nie tutaj odpowiedzieć!
  • Co to jest RODO?

    Rozporządzenie ogólne o ochronie danych osobowych (RODO) to nowe rozporządzenie regulujące zasady ochrony danych osobowych w Unii Europejskiej. Od 25 maja 2018 r. zaczyna być w pełni stosowane.
  • Czego dotyczy?

    RODO określa zasady, na jakich prywatne firmy, instytucje publiczne i inne organizacje mogą przetwarzać dane osobowe. Przy czym „przetwarzanie” oznacza każdą czynność związaną z gromadzeniem, łączeniem, wyszukiwaniem czy przekazywaniem danych. RODO wymaga również tego, żeby dane osobowe były przechowane i przetwarzane w bezpieczny sposób.
  • Dla kogo jest ta regulacja?

    Z jednej strony RODO ma chronić dane osobowe wszystkich mieszkańców Unii Europejskiej, z drugiej – ma też ułatwiać życie firmom, które prowadzą działalność w różnych krajach.
  • Kto odpowiada za to, żeby te zasady były przestrzegane?

    Za to, żeby RODO było przestrzegane, odpowiada Unia Europejska i państwa członkowskie. Każde państwo ma obowiązek powołać niezależny organ ochrony danych odpowiedzialny za kontrolowanie tego, jak RODO jest stosowane, za rozpatrywanie skarg osób indywidualnych, nakładanie kar (jeśli to konieczne), opiniowanie branżowych kodeksów postępowania i podnoszenie świadomości (poprzez kampanie edukacyjne). Skargi na administratorów wniesione przez osoby indywidualne będą rozpatrywane przez krajowe organy ochrony danych (w Polsce: Prezes Urzędu Ochrony Danych Osobowych) oraz sądy – jeśli to konieczne, w konsultacji z Europejskim Trybunałem Sprawiedliwości.
  • Kogo obowiązuje?

    Rozporządzenie obowiązuje bezpośrednio i w takiej samej formie we wszystkich 28 państwach członkowskich Unii Europejskiej. Odnosi się zarówno do firm, instytucji publicznych, jak i innych organizacji, które przetwarzają dane osobowe. Te podmioty miały ponad dwa lata (od 27 kwietnia 2016 r.) żeby przygotować się do stosowania RODO. Co ważne, rozporządzenie obowiązuje również podmioty spoza UE. Jeśli firma lub organizacja przetwarza dane osób mieszkających na terenie Unii, musi robić to zgodnie z RODO, niezależnie od tego, gdzie ma swoją siedzibę.
  • Gdzie szukać dalszych informacji o RODO?

    • Na stronie polskiego Urzędu Ochrony Danych Osobowych, gdzie publikowane są informacje, wskazówki i porady: http://giodo.gov.pl/
    • Na stronie Fundacji Panoptykon w poradnikowym cyklu RODO na tacy: https://panoptykon.org/wiadomosc/rodo-na-tacy-czyli-jak-mozemy-skorzystac-na-nowych-przepisach
    • Na prowadzonej przez UE stronie poświęconej RODO
     
  • Czy w najbliższej przyszłości RODO będzie zmieniane lub uzupełniane?

    Jest mało prawdopodobne, żeby w najbliższej przyszłości pojawiły się zmiany w tym prawie. Natomiast w ciągu kilku lat na pewno pojawią się szczegółowe wytyczne organów ochrony danych, sprawy sądowe i precedensy doprecyzowujące sens nowych przepisów. W UE trwają też prace nad nowym rozporządzeniem o e-prywatności (tzw. e-Privacy Regulation), które ma uzupełnić RODO, jeśli chodzi o przetwarzanie danych osobowych w środowisku cyfrowym.
  • Kto nie musi przestrzegać RODO?

    1. Niektóre podmioty publiczne (w tym agencje wywiadowcze, policja i sądy), które obowiązują tylko przepisy krajowe.
    2. Osoby indywidualne nie muszą stosować RODO, jeśli przetwarzają dane tylko w celach „osobistych lub domowych”, np. zapisują w swoim telefonie prywatne kontakty.
    3. Kościoły mogą zachować własne regulacje dotyczące ochrony danych osobowych i odrębne (kościelne) organy kontrolne. Jednak ich zasady działania nadal muszą być zgodne z RODO.
  • Czy RODO obowiązuje także firmy z USA?

    Tak. Wystarczy, że taka firma śledzi zachowanie użytkowników Internetu albo w inny sposób przetwarza dane osób mieszkających na terenie UE – i już podlega nowej regulacji. Nie ma przy tym znaczenia lokalizacja jej biura czy serwerów.
  • Czy RODO obejmuje też ochronę danych, które przetwarza mój pracodawca?

    Tak. Twój pracodawca, tak samo jak każda inna firma/organizacja, która przetwarza dane osobowe, ma obowiązek przestrzegać RODO. Każde państwo członkowskie UE może też, w ramach swojego terytorium, doprecyzować przepisy regulujące ochronę danych w miejscu pracy. Więcej informacji o polskich regulacjach znajdziesz na stronie Urzędu Ochrony Danych Osobowych.
  • Jak te prawa będą egzekwowane?

    Każde państwo ma swój organ odpowiedzialny za ochronę danych osobowych, którego zadaniem jest dbanie o to, by różne podmioty przetwarzały dane zgodnie z przepisami (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych – UODO). Jeśli uważasz, że Twoje prawa zostały naruszone, możesz złożyć skargę do Prezesa UODO lub od razu do sądu.
  • Co zrobić, jeśli dojdzie do wycieku danych?

    Zgodnie z RODO administrator ma obowiązek zgłoszenia każdego wycieku danych do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od momentu jego wykrycia. Masz też obowiązek powiadomić o tym zdarzeniu osoby, których dane przetwarzasz, jeśli wyciek niesie ze sobą wysokie ryzyko naruszenia ich praw lub wolności – np. jeśli wyciekły dane finansowe lub nieupoważnione osoby mogły uzyskać dostęp do dokumentacji medycznej.
  • Co się zmienia?

    RODO to raczej ewolucja niż rewolucja w stosunku do wcześniej obowiązujących zasad ochrony danych osobowych. Niemniej jednak pojawia się kilka istotnych zmian. Nowe przepisy m.in.:
    1. Przyznają osobom, których dane są przetwarzane, nowe prawa (np. prawo przeniesienia danych z jednej firmy/serwisu do innej i prawo pobrania kopii swoich danych); wymagają też od firm i organizacji większej przejrzystości (np. muszą Cię informować, skąd mają dane, które przetwarzają na Twój temat i w jakim celu je przetwarzają; muszą też Cię poinformować, jeśli poddają Cię profilowaniu).
    2. Ułatwiają skuteczne egzekwowanie prawa (np. wprowadzając realne kary dla naruszających przepisy i przyznając osobom, których dane są przetwarzane, prawo zgłaszania naruszeń bezpośrednio do sądu).
    3. Upraszczają i ujednolicają zasady przetwarzania danych w całej UE, dając przy tym większą elastyczność firmom co do tego, jak je stosować.
  • Czym konkretnie są dane osobowe?

    To kluczowe pojęcie dla zrozumienia RODO, bo rozporządzenie nie odnosi się do wszystkich danych, jakie są w posiadaniu firm i innych organizacji, ale tylko do danych osobowych. Daną osobową jest każda informacja, którą można połączyć z możliwą do zidentyfikowania osobą. A ponieważ zidentyfikowanie osoby często jest możliwe dzięki połączeniu kilku informacji w całość (nawet jeśli wśród nich nie ma imienia czy nazwiska), kategoria danych osobowych jest dość pojemna. Rozmiar buta, hobby, wizerunek – wszystkie te informacje mogą być danymi osobowymi, jeśli tylko jest możliwe ustalenie, kogo dotyczą. Nie ma przy tym znaczenia, kto może dokonać identyfikacji: czy jest to sam administrator (firma lub organizacja przetwarzająca dane), czy jakiś inny podmiot (np. inna firma albo organ publiczny).
  • Dlaczego niektóre firmy krytykują RODO?

    Część firm przywykła do traktowania Twoich danych jak darmowego zasobu, który można zawłaszczyć i eksploatować dla zysku bez pytania Cię o zgodę; zasobu, który można było bez ograniczeń gromadzić na serwerach, niespecjalnie dbając o jego bezpieczeństwo. RODO to potężne narzędzie, które zmusza firmy, by zweryfikowały, jakie ryzyko wiąże się z takim podejściem (nie tylko dla osób, których dane przetwarzają, ale też – w kontekście potencjalnych kar i utraty zaufania klientów – dla nich samych), a także do tego, by w rozsądny sposób dbały o Twoje dane, tak jak powinny to były robić od samego początku.
  • Co mogę zrobić, jeśli firma wykorzystuje moje dane wbrew mojej woli?

    • W pierwszej kolejności warto się z nią skontaktować. Niezależnie od tego, czy zrobisz ten pierwszy krok, zawsze możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Ta możliwość istnieje, nawet jeśli dana firma nie ma w Twoim kraju swojej siedziby. Jeśli nie zadowala Cię decyzja Prezesa UODO, możesz pozwać firmę do sądu.
    • Jeśli czujesz, że Twoje prawa zostały naruszone, możesz też zwrócić się prosto do sądu, pomijając etap skargi do Prezesa UODO.
    • Jeśli naruszenie Twoich praw spowodowało konkretną szkodę (materialną czy niematerialną), możesz dochodzić odszkodowania.
    • W sporze mogą Cię reprezentować także instytucje i organizacje zajmujące się prawami konsumentów, prawami cyfrowymi i inne grupy interesów.
  • Czy robimy wszystko, co powinniśmy?

    Nikt lepiej niż Wy sami nie odpowie na to pytanie. Najlepiej znacie model działania waszej firmy lub organizacji i związane z nim ryzyka dla ochrony danych osobowych. Dobrym punktem wyjścia, jeśli szukacie podpowiedzi, powinna być strona Urzędu Ochrony Danych Osobowych.
  • Czy firma lub organizacja może wymagać ode mnie opłaty za udostępnienie moich danych?

    Informacje na temat przetwarzania Twoich danych oraz ich pierwszą kopię administrator musi Ci udostępnić nieodpłatnie. Za kolejne kopie danych firma lub organizacja mogą pobrać rozsądną opłatę w wysokości kosztów administracyjnych (np. kosztów wysyłki). Firma lub organizacja nie może jednak czerpać zysku z takiej opłaty. Jeśli czujesz, że opłata jest za wysoka, możesz skontaktować się z Prezesem Urzędu Ochrony Danych Osobowych.
  • Czy mogę oczekiwać, że firmy powiedzą mi, jak wykorzystują moje dane?

    Oczywiście! RODO nakazuje wszystkim firmom i organizacjom odpowiadać na pytania o to, co robią z danymi osobowymi. Przede wszystkim możesz dowiedzieć się, czy przetwarzają również Twoje dane, a jeśli tak, to w jakim celu, jak długo będą to robić i komu je przekazują. A jeśli kiedyś postanowisz wycofać swoją zgodę na przetwarzanie danych albo uznasz, że chcesz się sprzeciwić niektórym praktykom, firmy i organizacje powinny nie tylko umożliwić Ci łatwe zakomunikowanie tego, ale też odpowiednio zareagować (tj. przestać przetwarzać dane w tym zakresie).
  • Czy to znaczy, że mogę się „usunąć” ze wszystkich baz danych?

    Niezupełnie. Nie możesz tak po prostu usunąć swoich danych, kiedy tylko zechcesz. Ale w pewnych konkretnych sytuacjach, rzeczywiście, możesz zażądać ich usunięcia – np. jeśli firma/organizacja już nie potrzebuje tych danych, żeby świadczyć Ci usługę, z której korzystasz albo jeśli zdecydowałaś/-eś się wycofać zgodę na przetwarzanie dodatkowych danych. Nawet w takich sytuacjach mogą się pojawić ważne powody, które sprawią, że firma/organizacja będzie musiała przez określony czas zatrzymać Twoje dane (np. do celów podatkowych albo żeby zabezpieczyć się przed ewentualnymi roszczeniami).
  • Czy mam jakieś obowiązki?

    Nie. To firmy i organizacje, które przetwarzają Twoje dane, mają obowiązek je chronić. Po Twojej stronie zostaje jednak podjęcie ważnych decyzji.
  • Jakie prawa daje mi RODO?

    1.Masz prawo do informacji.
    • Firmy i organizacje mają teraz obowiązek informować Cię – jasnym i prostym językiem – jakie Twoje dane przetwarzają i po co to robią. („Przetwarzanie” oznacza każdą czynność związaną ze zbieraniem, łączeniem, analizowaniem czy przekazywaniem danych).
    • Jeśli firma lub organizacja tworzy Twój profil (np. z danych pozyskanych z różnych źródeł), masz prawo wiedzieć, co się na niego składa.
    2. Masz prawo do tego, żeby Twoje dane były odpowiednio zabezpieczone. RODO wymaga, żeby dane osobowe były przechowywane i przetwarzane w bezpieczny sposób. 3. Masz prawo w dowolnym momencie uzyskać dostęp do danych, które przetwarza o Tobie firma/organizacja.
    • Jeśli dane są nieprawidłowe, możesz je skorygować lub uzupełnić.
    • Jeśli dane nie są już potrzebne, możesz poprosić o ich usunięcie.
    • Jeśli podasz firmie/organizacji więcej danych, niż jest to niezbędne do skorzystania z usługi, możesz w dowolnym momencie zmienić zdanie i zażądać ich usunięcia.
    4. Masz prawo skorzystać z usługi, podając tylko niezbędne dane. Jeśli firma lub organizacja chce przetwarzać dane, które nie są niezbędne do dostarczenia konkretnej usługi (np. aplikacja przewozowa chce uzyskać dostęp do Twoich kontaktów), musi poprosić o wyraźną zgodę. (To, że firma uważa, że przetwarzanie pewnych danych leży w jej interesie, wcale nie znaczy, że są jej niezbędne). W dowolnym momencie możesz też cofnąć wyrażoną zgodę na przetwarzanie dodatkowych danych. 5. Jeśli decyzja w Twojej sprawie została podjęta za pomocą automatycznych środków, masz prawo:
    • Uzyskać informacje o tym, w jaki sposób taka a nie inna decyzja została podjęta (tzn. masz prawo do informacji o zasadach działania automatycznego mechanizmu),
    • Zakwestionować tę decyzję (np. ze względu na to, że bank nie przyznał Ci kredytu z powodu „nieprawidłowego” wyniku scoringu),
    • Zażądać ludzkiej interwencji (osoba, której zgłosisz swoje zastrzeżenia, powinna zweryfikować, w jaki sposób decyzja została podjęta i czy ostateczny rezultat jest sprawiedliwy).
  • Jak mam zapewnić właściwe zabezpieczenie przetwarzanych danych?

    To, jakie kroki należy podjąć w Twojej firmie/organizacji, żeby zabezpieczyć dane osobowe, będzie zależało od różnych czynników, np. od rodzaju przetwarzanych danych, od ich ilości i stopnia wrażliwości, od złożoności Twojej infrastruktury informatycznej, a także od tego, czy dysponujesz wiedzą z zakresu bezpieczeństwa w swojej organizacji, czy też decydujesz się na outsourcing zabezpieczeń. Jednak już na podstawowym poziomie warto podjąć następujące kroki.
    • Ustal, jakie dane przetwarzasz i gdzie je przechowujesz.
    • Przeprowadź analizę ryzyka, wskazując najbardziej prawdopodobne źródła nieautoryzowanego dostępu do danych i wycieków.
    • Wprowadź w życie oparty na analizie ryzyka plan działania, w którym opisane będą zasady: minimalizacji danych (zbieraj, przetwarzaj i przechowuj tylko te dane, których naprawdę potrzebujesz); kontroli dostępu (ogranicz to, kto ma dostęp do danych osobowych); bezpiecznego przechowywania (ustal, gdzie przechowujesz dane osobowe, w tym dane wrażliwe, oraz czy są przechowywane w innym miejscu niż dane nieosobowe/niewrażliwe); higieny korzystania przez zespół z urządzeń i usług cyfrowych; zatrzymywania, archiwizacji i usuwania danych.
    • Przetestuj bezpieczeństwo systemów, w których przechowujesz dane osobowe (serwery, pocztę e-mail, archiwa itp.).
    • Spisz wszystkie działania podjęte w celu zabezpieczenia przetwarzanych przez Ciebie danych osobowych.
    • Ustal i przetestuj plan działania na wypadek wycieku. Plan powinien zawierać opis ról i podział odpowiedzialności, procedurę zgłaszania wycieku do Urzędu Ochrony Danych Osobowych itd.
    • Zaplanuj okresowe powtarzanie powyższych kroków.
    Czy trzeba stosować protokół HTTPS, żeby spełnić wymogi RODO? Nie, wprowadzenie protokołu HTTPS na stronie internetowej nie jest obowiązkowe, ale na pewno jest dobrą praktyką (rekomendowaną przez organy nadzorcze). Aby dowiedzieć się więcej o HTTPS, odwiedź stronę Lets Encrypt: https://letsencrypt.org.
  • Co grozi za niewłaściwe wdrożenie RODO?

    Niewłaściwe wdrożenie RODO niesie za sobą ryzyko nałożenia kary przez Urząd Ochrony Danych Osobowych. Twoja firma/organizacja może także zostać pozwana do sądu przez osobę, której prawa narusza. Jednak największe ryzyko wiąże się prawdopodobnie z utratą zaufania Twoich klientów/beneficjentów. Badania potwierdzają, że większość ludzi chce mieć pewność, że ich dane nie są nadużywane, i coraz większą wagę przykłada do ochrony swojej prywatności.
  • Czy jest jakiś minimalny standard wdrożenia RODO?

    RODO zwraca przede wszystkim uwagę na konieczność oceny ryzyka, która dla każdej firmy lub organizacji będzie wyglądać inaczej. Nie ma rozwiązań uniwersalnych. Podstawową sprawą jest zrozumienie, że prawo ludzi do kontrolowania swoich danych jest ważne, a Waszą odpowiedzialnością jest umożliwienie im jak najpełniejszej realizacji tego prawa. Wytyczne Grupy Roboczej art. 29 zawierają przykłady dobrych i złych praktyk. Przydatne wskazówki znajdziecie też na stronie Urzędu Ochrony Danych Osobowych.
  • Czy grożą nam kary finansowe? Jak będą stosowane?

    Kary grożą tym, którzy nie stosują się do wymagań i obowiązków wynikających z RODO. Urząd Ochrony Danych Osobowych może je nałożyć w wyniku skargi złożonej przez osobę, której prawa zostały naruszone, albo wskutek kontroli wszczętej z urzędu. UODO powinien zadbać o to, żeby w danym przypadku kara była skuteczna, proporcjonalna i odstraszająca. Przed podjęciem decyzji o jej wysokości urząd weźmie pod uwagę m.in. rodzaj i powagę naruszenia, jego umyślny lub nieumyślny charakter, działania podjęte przez administratora w celu zminimalizowania szkody, ale też budżet firmy lub organizacji. Maksymalna wysokość kary to 20 mln euro lub 4% rocznego obrotu. Ten drugi limit będzie stosowany do firm/organizacji, które nie odczułyby ubytku 20 mln euro w budżecie.
  • Skąd mamy wiedzieć, czy jesteśmy gotowi?

    W opcji podstawowej powinniście być w stanie odpowiedzieć TAK na każde z poniższych pytań:
    • Czy stworzyliśmy mapę tego, jakie dane osobowe i w jakich celach przetwarzamy?
    • Czy umiemy uzasadnić przetwarzanie wszystkich kategorii danych (np. określić podstawę prawną, która daje nam prawo, żeby to robić)?
    • Czy informujemy naszych użytkowników/klientów o tym, jak przetwarzamy ich dane?
    • Czy jesteśmy pewni, że przetwarzane przez nas dane są bezpieczne i nie mają do nich dostępu osoby nieupoważnione?
    • Czy wprowadziliśmy procedury usuwania danych, których już nie potrzebujemy?
    • Czy wiemy, co robić, gdy nasz użytkownik/klient zechce skorzystać ze swoich praw wynikających z RODO, np. zażąda kopii swoich danych?
    • Czy określiliśmy poziom i źródła ryzyka związanego z tym, jak przetwarzamy dane osobowe? Czy podjęliśmy kroki, żeby to ryzyko zminimalizować?
    • Czy mamy wdrożoną procedurę postępowania w przypadku, gdy osoba nieupoważniona uzyska dostęp do danych osobowych?
    • Czy zadbaliśmy o to, by każda osoba w firmie lub organizacji znała procedury właściwego przetwarzania i zabezpieczania danych osobowych?
    • Czy wdrożyliśmy plan okresowej ewaluacji tego, jak przetwarzamy dane osobowe?
    Więcej na temat tych kroków znajdziesz w poradniku Nowa filozofia w ochronie danych osobowych: od oceny ryzyka do spójnej strategii w organizacji.
  • Privacy by design i privacy by default – o co chodzi?

    Zasada privacy by design (ochrona danych w fazie projektowania) oznacza, że firmy i organizacje muszą uwzględnić kwestie prywatności na etapie projektowania, wdrażania i stosowania jakichkolwiek technologii, za pomocą których przetwarzają Twoje dane. Zasada privacy by default (domyślne ustawienia prywatności) oznacza, że każdy produkt lub usługa w domyślnych ustawieniach powinny zapewniać maksymalny poziom ochrony prywatności. Twoje dane będą chronione zgodnie z wymogami RODO, nawet jeśli sam/-a nic w tym kierunku nie zrobisz. Chodzi o to, żeby nawet pasywni, niezainteresowani ustawieniami prywatności użytkownicy mogli poczuć się bezpiecznie. Cała odpowiedzialność za stworzenie bezpiecznej dla Ciebie przestrzeni będzie przerzucona na administratora. Więcej na ten temat znajdziesz w poradniku Fundacji Panoptykon „RODO na tacy. Odcinek III: O prawie do bezpieczeństwa i beztroski”.
  • Jak RODO chroni wolność wypowiedzi i informacji?

    RODO zawiera przepisy, które mają za zadanie pogodzić prawo do prywatności z wolnością wypowiedzi i informacji. Najważniejszy z nich to art. 85, zgodnie z którym firma lub organizacja przetwarzająca dane „dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej” nie musi realizować niektórych obowiązków wynikających z RODO. RODO przewiduje także wyjątek od możliwości żądania „prawa do bycia zapomnianym”, jeśli przetwarzanie danych osobowych jest niezbędne do korzystania z wolności wypowiedzi i informacji. Warto pamiętać, że:
    • RODO daje poszczególnym państwom członkowskim swobodę w interpretacji art. 85 i umożliwia im samodzielne uregulowanie w prawie krajowym relacji pomiędzy prawem do prywatności a wolnością wypowiedzi i informacji. Polski ustawodawca zrobił to w art. 2 ustawy o ochronie danych osobowych z 10 maja 2018 r.
    • Art. 85 RODO nie osłabia innych obowiązków związanych z ochroną danych. Media nie będą np. zwolnione z wymogu posiadania odpowiednich procedur zapobiegających naruszeniom.
  • Jak mogę uzyskać od firmy kopię moich danych?

    Firmy i organizacje powinny udostępnić Ci jasną procedurę, dzięki której możesz uzyskać dostęp do swoich danych. RODO nie precyzuje, w jakim formacie firma lub organizacja ma przekazać Ci kopię Twoich danych, ale wymaga, żeby ten format był „powszechnie używany” i „nadający się do odczytu maszynowego”. Pamiętaj, że jeśli kopię danych chcesz uzyskać, aby skorzystać z prawa do przeniesienia danych, otrzymasz tylko te dane, które sam/-a dostarczyłeś/-aś firmie lub organizacji (na podstawie zawartej umowy lub w oparciu o Twoją zgodę). O przeniesienie danych nie możesz poprosić firmy, z którą nie masz bezpośredniej relacji. Przykładowo, z takim wnioskiem nie możesz się zwrócić do firmy, która zebrała Twoje dane na innej stronie internetowej dzięki śledzącym skryptom albo plikom cookie. Natomiast zawsze - wobec każdego podmiotu, który ma Twoje dane - możesz wystąpić z wnioskiem o informację na ten temat. Zobacz, jak odzyskać swoje dane, w poradniku Fundacji Panoptykon „RODO na tacy. Odcinek V: Lekcje samoobrony, czyli jak skorzystać z praw, które daje RODO?”
  • Dostaję maile od firmy, której klientem nigdy nie byłem/-am. Co mam zrobić? Zgłosić to do Prezesa UODO? Poprosić o usunięcie moich danych?

    Masz do wyboru kilka opcji:
    • W pierwszej kolejności możesz poprosić firmę o kopię Twoich danych (żeby sprawdzić, co tak naprawdę na Twój temat wie). Zgodnie z RODO firma powinna poinformować Cię o tym, skąd ma Twoje dane, na jakiej podstawie prawnej je przetwarza i w jakim celu.
    • Jeśli to Cię nie przekonuje (nadal uważasz, że firma wykorzystuje Twoje dane nielegalnie lub po prostu Ci się to nie podoba), możesz zażądać usunięcia swoich danych. Ale pamiętaj o tym, że jeśli w przeszłości z firmą łączyła Cię jakaś umowa, być może ma ona jeszcze prawny obowiązek przechowywania Twoich danych przez dłuższy czas.
    • W końcu, jeśli uważasz, że zbierając Twoje dane firma działała nielegalnie, możesz złożyć skargę do Prezesa UODO lub pozew do sądu. Jak to zrobić, dowiesz się z poradnika Fundacji Panoptykon „RODO na tacy. Odcinek V: Lekcje samoobrony, czyli jak skorzystać z praw, które daje RODO?”
  • Czy firmy mogą wymagać zgody na nowe warunki przetwarzania danych (przy okazji aktualizowania regulaminu albo polityki prywatności), a nawet zablokować dostęp do usługi w razie odmowy jej wyrażenia?

    Zgodnie z RODO, zgoda musi być „dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli” osoby, której dane dotyczą. Powinna być wyrażona w drodze wyraźnego działania potwierdzającego, przez które zgadzasz się na zaproponowane przez firmę lub organizację warunki przetwarzania Twoich danych. Możesz wyrazić zgodę poprzez zaznaczenie okienka na stronie internetowej albo w inny sposób, tak długo jak z okoliczności jasno wynika, że chcesz powiedzieć: „tak, zgadzam się”. Zgoda nie może być wyinterpretowana z braku Twojej aktywności czy z przypadkowego działania. Dalsze korzystanie z serwisu albo zamknięcie okienka zawierającego informację o przetwarzaniu danych jeszcze nie oznacza, że się na cokolwiek zgadzasz. Tylko „wyraźne działania potwierdzające” mogą być uznane za skuteczne wyrażenie zgody. Na przykład, wpisanie adresu e-mail w polu zapisu na newsletter może być uznane za zgodę na przetwarzanie danych w tym celu. Zgoda nie może być w żaden sposób wymuszona (z taką sytuacją masz do czynienia np. wtedy, gdy zgoda jest warunkiem dalszego korzystania z usługi), nie może być też „zaszyta” w regulaminie. Zgodnie z RODO nie da się “jednym kliknięciem” zaakceptować regulaminu świadczenia usługi ORAZ wyrazić zgody na przetwarzanie danych osobowych. To powinny być osobne czynności. Pamiętaj jednak, że:
    1. Firmy często w ogóle nie muszą pytać Cię o zgodę, ponieważ mogą przetwarzać Twoje dane w oparciu o inne podstawy prawne (np. wtedy, gdy jest to niezbędne do świadczenia Ci usługi albo gdy firma ma w tym swój uzasadniony interes);
    2. Firmy mogą wymagać tego, że zaakceptujesz nowy regulamin świadczonej usługi (to standard, że ogólne warunki świadczenia usług nie podlegają negocjacji), ale pod warunkiem, że nie została w nim ukryta klauzula zgody na przetwarzanie danych. Polityka prywatności (lub inne, niepodlegające negocjacjom dokumenty) mogą odnosić się jedynie do danych, które są niezbędne do korzystania z danej usługi.
    Więcej o zgodzie dowiesz się z poradnika Fundacji Panoptykon „RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów”.
  • Skąd mam wiedzieć, czy zasada privacy by design została wdrożona?

    Z perspektywy użytkownika nie zawsze jest oczywiste, czy administrator poważnie potraktował zasadę privacy by design. W praktyce może się ona przekładać na różne rozwiązania, które są wbudowane – jako podstawowe funkcjonalności – w specyfikację techniczną czy praktyki biznesowe. Pewne rzeczy widać jednak bez wchodzenia na zaplecze. Korzystając z usługi czy produktu, jesteś w stanie określić podstawowe funkcjonalności i wyłapać te, które świadczą o tym, że administrator dobrze zaprojektował procesy przetwarzania danych i rzeczywiście stara się chronić Twoją prywatność.Oto kilka przykładów takich rozwiązań: przyjazny interfejs dostępu do danych i zarządzania ustawieniami prywatności, szyfrowanie typu end-to-end (na całej drodze przesyłu danych), obowiązkowa autoryzacja (najlepiej dwustopniowa). Więcej na ten temat znajdziesz w poradniku Fundacji Panoptykon „RODO na tacy. Odcinek III: O prawie do bezpieczeństwa i beztroski”.
  • Czy fundacja, organizacja pozarządowa albo sieć wolontariuszy może wykorzystać zebrane wcześniej adresy e-mail, aby wysyłać mailingi i informacje o swoich działaniach?

    Najkrócej mówiąc – to zależy!
    • Jeśli poprosiliście te osoby o zgodę na wykorzystanie ich adresów e-mail w tym celu (wtedy, kiedy te adresy były zbierane), taka zgoda jest nadal ważna;
    • Jeśli nigdy wyraźnie nie prosiliście swoich odbiorców o zgodę, ale ich adresy e-mail były zbierane właśnie po to, żeby pozostawać w kontakcie – a osoby, które przekazały Wam swoje dane miały tego świadomość – prawdopodobnie możecie uznać, że ich wykorzystanie do wysyłania ważnych informacji czy newslettera realizuje Wasz „uzasadniony interes”.
    • Jeśli jednak osoby, które kiedyś przekazały Wam swoje adresy e-mail, nie miały podstaw by oczekiwać, że w przyszłości wykorzystacie je do wysyłki newslettera czy innych informacji (np. przekazały Wam adres e-mail tylko w celu obsługi pojedynczej płatności lub przy podpisywaniu konkretnej petycji), to prawdopodobnie musicie zapytać je o zgodę.
    Więcej praktycznych wskazówek znajdziecie w poradniku Fundacji Panoptykon „Nowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznej”.
  • Prowadzę bloga lub forum internetowe, ale na tym nie zarabiam. Czy muszę stosować RODO?

    To zależy od tego, czy przetwarzasz dane osobowe swoich użytkowników lub czytelników w jakimkolwiek celu (żeby się z nimi kontaktować, dzielić się aktualnościami, monitorować, kto odwiedza Twoją stronę itd.). Jeśli tak, musisz stosować RODO. RODO ma zastosowanie do wszystkich rodzajów przetwarzania danych, niezależnie od tego, czy ma to charakter zarobkowy czy nie (z nielicznymi wyjątkami). Osoby fizyczne nie muszą stosować RODO, jeśli zbierają dane na potrzeby „osobiste lub domowe” – np. jeśli przechowują kontakty na telefonie. Ten wyjątek nie dotyczy jednak prowadzenia bloga lub forum, jeśli jest to działalność publiczna i profesjonalna (a nie osobista).